Ana Maria Pițur - avocat partener, și Adriana Calcan - avocat,
în cadrul Perju, Rotaru & Asociații

1. SCURTĂ PREZENTARE A REGULAMENTULUI GENERAL PRIVIND PROTECȚIA DATELOR CU CARACTER PERSONAL

General Data Protection Regulation (GDPR) este Regulamentul Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, aprobat la data de 27 aprilie 2016 și aplicabil începând cu data de 25 Mai 2018.

GDPR este un regulament general prin care se stabilește un set unic de reguli aplicabile în toate statele membre ale Uniunii Europene, fie că vorbim despre prelucrări de date efectuate în cadrul unui operator / persoană împuternicită de operator de pe teritoriul Uniunii, fie că vorbim despre prelucrarea datelor persoanelor din Uniune, chiar dacă operatorul / persoana împuternicită de operator nu este stabilită în Uniune (atunci când prelucrarea este legată de oferirea de bunuri sau servicii unor astfel de persoane sau de monitorizarea comportamentului lor manifestat în cadrul Uniunii).

GDPR nu este o reglementare complet nouă în ce privește prelucrarea datelor cu caracter personal, aducând însă noutăți importante menite să răspundă scopului regulamentului edictat în chiar denumirea acestuia și în primul său paragraf – protecția datelor cu caracter personal și de a schimba modul în care este abordată confidențialitatea datelor de organizațiile care operează pe teritoriul Uniunii sau prelucrează date personale ale cetățenilor Uniunii.

În esență, GDPR pune mai mult accentul pe drepturile individuale, unul din principalele sale obiective fiind acela de a permite cetățenilor Uniunii un control mai mare asupra datelor lor personale. Subsumat acestui obiectiv sunt reglementate mai multe condiții și reguli ce trebuie respectate la colectarea și prelucrarea datelor, măsuri tehnice și organizatorice ce trebuie implementate pentru asigurarea securității datelor - nu numai de operatorii de date, ci și de persoanele împuternicite de operatori (entități care prelucrează date în numele unei alte entități), astfel:

• lărgirea sferei “datelor cu caracter personal” la orice informație care poate fi folosită direct sau indirect pentru a identifica în mod unic o persoană; date personale pot fi orice, de la nume, adresă și CNP, la o fotografie sau înregistrare video, o adresă de e-mail sau un număr de telefon, postări pe rețelele de socializare, informații medicale, informații despre comportamentul de cumpărare sau de petrecere a timpului liber, o simplă adresă de IP sau conținutul unui fișier de tip cookie;
• noi drepturi pentru cetățenii UE ale căror date cu caracter personal sunt prelucrate: de la dreptul de a-și exprima un consimțământ de prelucrare bine informat, de a-și accesa datele colectate, dreptul la portarea datelor, de a fi asigurat despre siguranța datelor sale atunci când sunt prelucrate și până la obligația operatorilor de a minimiza atât datele prelucrate, cât și perioada de păstrare a acestora;
• actori noi în piață: operator de date, persoana împuternicită de operator, responsabilul pentru protecția datelor (DPO) și, desigur, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) care este reglementată ca autoritatea cu rol de supraveghere a respectării legislației în materia protecției datelor cu caracter personal;
• documentație nouă care să asigure conformitatea: formulare de consimțământ, informări, acte adiționale cu angajați, convenții cu clienți sau cu furnizori pe relația operator-persoană împuternicită de operator, proceduri de securitate a datelor, campanii de informare, registre de evidență obligatorii.

Începând cu data de 25 Mai 2018, GDPR este obligatoriu și se aplică direct în toate statele membre, fără să fie necesară adoptarea unei legi interne de transpunere. GDPR impune obligația pentru cel care prelucrează date cu caracter personal să facă dovada respectării tuturor drepturilor persoanelor vizate, tuturor obligațiilor care îi revin potrivit Regulamentului.
Nerespectarea obligațiilor GDPR  duce la sancțiuni deosebit de grave – repararea prejudiciului suferit de persoana vătămată și amenzi administrative care pot atinge 4% din cifra de afaceri mondială totală anuală.

Așadar, a fi conform cu GDPR nu este o opțiune, este o obligație.

A respecta și a dovedi conformitatea cu GDPR va reprezenta un factor de diferențiere a afacerii față de cei care nu respectă GDPR, prin garanțiile și încrederea acordată și transmisă angajaților, clienților și partenerilor cu privire la utilizarea responsabilă a datelor lor personale.

2. IMPACTUL GDPR ASUPRA AFACERII

 
Arhitectul colectează, procesează, transmite, stochează date cu caracter personal, fie că vorbim despre redactare de contracte, documentații, părți descriptive, proiecte, efectuare de fotocopii, fie pe suport hârtie, fie suport electronic, transmiterea documentelor anterior menționate prin orice modalitate – înmânare directă, fax, e-mail etc.

Arhitectul, ca orice altă profesie liberală, are obligația de a respecta GDPR. Fiecare arhitect prelucrează date cu caracter personal într-o formă sau alta atunci când relaționează cu clienții (datele cu caracter personal ale clientului persoană fizică, ale familiei clientului, ale clienților clienților sunt menționate în contract, dar sunt necesare pentru realizarea proiectului, pentru a fi incluse în DTAC, pentru a fi depuse la autorități în susținerea solicitărilor, pentru contractarea firmelor de construcție, a designerului interior dacă este cazul etc.), angajații sau colaboratorii (proces de recrutare, proces de angajare, comunicare date către autoritățile cu competențe în stabilirea drepturilor de asigurări sociale, de sănătate etc.), consultanți etc.

Farmaciile colectează, procesează, transmit, stochează date cu caracter personal, inclusiv categorii speciale de date, într-o formă sau alta, în cadrul diverselor relaționări pe care le au în desfășurarea activității specifice, începând de la datele propriilor angajați și colaboratori (proces de recrutare, proces de angajare, executarea efectivă a contractului – plata salariilor, raportări către autoritățile competente în stabilirea drepturilor de asigurări sociale, de sănătate, transmiterea datelor pentru prestarea eventualelor servicii externalizate – HR, contabilitate, IT, monitorizări video ale spațiilor de desfășurare a activității etc), ale clienților sau împuterniciților acestora (colectarea datelor pentru eliberarea medicamentelor conform prescripțiilor medicale prezentate, stocarea prescripțiilor în format electronic sau pe suport hârtie, transmiterea datelor către autorități competente – Casa de Asigurări de Sănătate, pentru decontări, programe de fidelitate prin emiterea și utilizarea cardurilor de fidelitate, acțiuni de marketing – informări, newslettere, derularea de campanii promoționale, colectarea darelor prin accesarea site-ului companiei, vânzare produse on-line, expediere produse achiziționate on-line etc) până la date ale partenerilor contractuali/ale reprezentanților acestora (prelucrarea datelor pentru încheierea contractelor, contactarea partenerilor contractuali, comunicări de marketing etc).

Medicii colectează, procesează, transmit, stochează date cu caracter personal, într-o formă sau alta, în cadrul diverselor relaționări pe care le au în desfășurarea activității specifice, începând de la datele propriilor angajați și colaboratori (proces de recrutare, proces de angajare, executarea efectivă a contractului – plata salariilor, raportări către autoritățile competente în stabilirea drepturilor de asigurări sociale, de sănătate, transmiterea datelor pentru prestarea eventualelor servicii externalizate – HR, contabilitate, IT, monitorizări video ale spațiilor de desfășurare a activității etc), datele pacienților și aparținătorilor acestora, inclusiv date ale pacienților minori (evidența pacienților; efectuarea și urmărirea programărilor; prelucrarea informațiilor din fișa medicală necesare prestării serviciului medical; atunci când se fac decontări pentru pacienții asigurați; când se realizează transferul datelor către autorități ori entități diverse precum laboratoare de analiză, alți medici, societăți de asigurare privată, avocați, furnizori de servicii medicale și sociale, către distribuitorii de sotfware-uri medicale, către serviciul de medicină legală, direcții de asistență socială, Colegiul Medicilor ori raportări către Casa de Asigurări de Sănătate; când vorbim despre stocarea datelor în sistemele și programele informatice de evidență specifice, proprii sau la nivel național; implementarea și aplicarea unor programe de fidelitate, emiterea și utilizarea cardurilor de fidelitate, campanii de promovare, desfășurarea de activități de marketing, comunicări și informări; datele prelucrate la accesarea site-ul, la efectuarea progrămarilor on-line; înregistrarea apelurilor telefonice ori monitorizarea video în incinta unităților de prestare a serviciilor medicale; facturare etc), până la date ale partenerilor contractuali/ale reprezentanților acestora (prelucrarea datelor pentru încheierea contractelor, contactarea partenerilor contractuali, comunicări de marketing etc).

Dacă un cabinet de medicină de familie, spre exemplu, este organizat ca SRL, atunci operatorul este însuși SRL-ul; în caz contrar, unul sau toți medicii de familie din cabinet (medic titular și medici angajați) sunt operatori unici sau asociați. La fel și în cazul clinicilor medicale care sunt în forma lor de organizare operatori de date cu caracter personal, fiind ținute la respectarea GDPR.

Depozitele farmaceutice colectează, procesează, transmit, stocheaza date cu caracter personal, într-o formă sau alta, în cadrul diverselor relaționări pe care le au în desfășurarea activității specifice, începând de la datele propriilor angajați și colaboratori (proces de recrutare, proces de angajare, executarea efectivă a contractului – plata salariilor, raportări către autoritățile competente în stabilirea drepturilor de asigurări sociale, de sănătate, transmiterea datelor pentru prestarea eventualelor servicii externalizate – HR, contabilitate, IT, monitorizări video ale spațiilor de desfășurare a activității, monitorizarea prin sistem gps a mijloacelor de transport proprii utilizate de angajați etc), până la date ale partenerilor contractuali/ale reprezentanților acestora (prelucrarea datelor pentru încheierea contractelor; contactarea partenerilor contractuali prin angajații acestora desemnați în acest sens; transmiterea datelor către societăți de curierat/transport, inclusiv societăți deținătoare ale spațiilor depozitului, după caz; completarea documentelor specifice la recepție și transmitere marfă etc), monitorizarea video efectuată în incinta depozitelor, eventuala monitorizare a accesului în incinta depozitelor, etc.
Este esențială conștientizarea faptului că pentru orice prelucrare de date cu caracter personal este obligatorie conformarea la regulile GDPR; faptul că prelucrarea datelor se face având un scop determinat și în baza unui temei legal nu înseamnă că prelucrarea nu trebuie realizată potrivit regulilor, principiilor și obligațiilor statuate de GDPR.


GDPR circumstanțiază și detaliază numeroase condiții, astfel încât este foarte de greu de imaginat că o societate nu are nimic de făcut pentru conformarea la GDPR. Dimpotrivă am spune noi, are de îndeplinit cel puțin următorii pași: să identifice dacă este necesară numirea unui DPO și să analizeze și oportunitatea desemnării chiar în lipsa obligativității, să inventarieze categoriile de date prelucrate și operațiunile de prelucrare, să realizeze evidența activităților de prelucrare, să clarifice temeiurile prelucrarilor, să identifice dacă datele deținute, prelucrările efectuate și consimțământul obținut pentru prelucrările realizate în baza acestuia respectă cerințele GDPR, să verifice toate raporturile contractuale care implică date personale și să asigure conformarea acestora la exigențele GDPR (informarea corespunzătoare a persoanelor vizate, încheierea de acte adiționale cu angajații și colaboratorii interni, cu partenerii în relația operator-persoană împuternicită), să elaboreze și să implementeze politici și proceduri de securitate a datelor, să implementeze măsuri tehnice și organizatorice pentru asigurarea securității, să verifice în mod constant implementarea pentru a putea aduce îmbunătățirile necesare.

Toate acestea presupun acțiuni precum întocmire de contracte și documentații, procesare internă sau externalizată, dezvoltare și implementare politici și proceduri de lucru, adaptare sisteme informatice incluzând site-uri web și sisteme de back-up, analiză și implementare arhivare fizică și electronică, asigurarea securității fizice și informatice.

3. MYBIZ - SOLUȚIA PENTRU CONFORMAREA LA GDPR

Conformarea la obligațiile legale reglementate de GDPR implică așadar un set de acțiuni extrem de anevoios din cauza complexității preverilor Regulamentului, a costurilor de timp și bani ridicate presupuse de o astfel de conformare, elemente care, în multe cazuri, descurajează companiile în îndeplinirea acestor exigențe legale și care scapă astfel din vedere faptul că sunt expuse acelorași sancțiuni ca și companiile care își permit și sunt dispuse să suporte costul îndeplinirii exigențelor GDPR.

MyBiz GDPR este o aplicație software gândită să sprijine companiile de nivel mic și mijlociu din România în implementarea GDPR la nivel de documentație și know-how de bune practici.
 
Solutia MyBiz GDPR este concepută de SETRIO, o companie care furnizează soluții IT din anul 2004 către profesioniști din sfera profesiilor liberale și numără astazi în portofoliu peste 2000 de clienți. Experiența SETRIO în această zonă face ca modalitatea de abordare a nevoilor clienților, bineînțeles cu particularitățile firești ale fiecărei profesii, să fie potrivit identificată și aplicată în așa fel încât să răspundă în mod corespunzător provocărilor clienților, întrucât soluțiile de software dezvoltate de SETRIO sunt rezultatul unei analize aprofundate și înțelegeri adecvate a activității clienților, a specificului de business al acestora.

SETRIO își propune să crească profitabilitatea clienților săi prin tehnologie, făcând o multiplicare, un share de know how, de experiență și de soluții verificate și dezvoltate cu profesionalism. Progresul presupune atât inovație, cât și expertiză, iar SETRIO este în pas cu tehnologia, este o echipă creativă și oferă soluții inovatoare, optime și flexibile reflectate în servicii și produse de calitate și complete.
 
Pentru dezvoltarea aplicației MyBiz GDPR, SETRIO a beneficiat de consultanță juridică din partea PERJU, ROTARU & ASOCIAȚII, societate de avocatură cu 12 ani de experiență în domeniu, familiarizată cu problemele pe care le implică GDPR, dar și cu cele specifice domeniului de activitate a celor cărora li se adresează MY BIZ.

MY BIZ GDPR este soluția pentru conformitate întrucat și SETRIO este la rândul său compliant cu GDPR pentru că a înțeles că, dincolo de sancțiunile la care ar putea fi expusă pentru nerespectarea cerințelor GDPR, alinierea la aceste norme reprezintă un imperativ al dreptului fundamental al oricărei persoane la protecția datelor care o privesc și, în același timp, o conduită derivând în mod firesc din încrederea persoanelor care i-au încredințat datele lor personale și din respectul față de toate persoanele ale căror date cu caracter personal ajung în posesia sa.

4. SCURTA PREZENTARE A PLATFORMEI MY BIZ GDPR

MyBiz GDPR este o platformă foarte intuitivă care funcționează și poate fi utilizată foarte simplu.
Înregistrarea se realizează printr-un simplu click pe www.mybiz.eu. Pe această pagină se va alege un tip de abonament din cele disponibile pentru categoria / domeniul de activitate, în funcție de numărul de angajați și se vor completata pașii necesari pentru generarea documentelor specifice în vederea conformării cu GDPR.

Platforma MyBiz GDPR va putea fi accesată de pe orice dispozitiv conectat la internet oricând contul dumneavoastră din secțiunea Autentificare disponibilă pe pagina www.mybiz.eu.

Platforma Mybiz GDPR va revizui principalele fluxuri din societate unde pot apărea riscuri pentru prelucrarea datelor cu caracter personal și va genera documentele necesare pentru conformitatea cu GDPR, le va actualiza periodic în funcție de dinamica legislației și oferă informații utile din sfera GDPR.
 
Urmând doar 10 pași meniți a identifica soluția particulară aplicabilă pentru conformitatea cu GDPR, la nivel intern (anagajați, colaboratori), extern (parteneri contractuali diverși) și al politicilor și procedurilor interne, precum și completarea unor date sumare pe aceste fluxuri, veți avea baza de date completă pe care să o implementați apoi la nivelul companiei.
Pe scurt, MyBiz GDPR va genera:   

• Documente privind măsuri tehnice și organizatorice pentru asigurarea securității datelor
  • Politici și proceduri precum: Politică de confidențialitate, Procedură operațională pentru asigurarea securității datelor, Procedură de prelucrare a datelor în cazul recrutărilor, Procedură de soluționare a cererilor persoanei vizate, Procedură de gestionare a incidentelor de securitate, Procedură de ștergere a datelor; Politică de utilizare cookie.
  • Formulare diverse: proces verbal ștergere date, formulare privind exercitarea drepturilor persoanelor vizate (menit a fi puse la dispoziția persoanelor vizate în cazurile în care doresc să își exercite drepturile reglementate de GDPR, respectiv formular exercitare drept de acces la date, dreptul la rectificare, dreptul la ștergere, restricționare, opoziție, portabilitate).
  • Decizii interne: decizii desemnare DPO / persoană desemnată cu activitățile de prelucrare. 
• Documente necesare în relația directă cu persoanele ale căror date personale sunt prelucrate:
  • Informări ale persoanelor vizate
  • Angajați / Colaboratori: act adițional la contractul de muncă, fișă de post pentru DPO, fișă de post pentru persoana desemnată pentru activitățile de prelucrare;
  • Formulare de consimțământ – pentru situații în care prelucrarea are ca temei consimțământul persoanei vizate (ex: în scop de marketing).
• Documente corespunzătoare raportului aplicabil relației operator – persoană împuternicită de operator (Convenție privind prelucrarea datelor cu caracter personal);
• Regulamentul vă obligă să păstrați o evidență a tuturor activităților de prelucrare de date cu caracter personal efectuate, iar platforma va genera Registrul de evidență a activităților de prelucrare a datelor.

Conexiunea permanentă cu platforma vă va permite să beneficiați de revizuirea continuă a documentației în funcție de modificările legislative europene sau locale în domeniul GDPR și va asigura concursul permanent al specialiștilor pentru utilizarea platfomei în vederea conformității companiei dumneavoastră cu GDPR.  Conexiunea ne va permite să îmbunătațim rapid platforma în funcție de feed-back-ul primit de la dumneavoastră și va permite totodată, să accesați și alte produse de soft care să crească productivitatea afacerii dumneavoastră.

5. BENEFICII

Implementare rapidă și facilă cu ajutorul șabloanelor și a instrucțiunilor de utilizare a platformei și de completare a documentelor. 
Timp și cost redus – în medie va dura aproximativ 3 ore completarea bazei de date și analiza fluxurilor care să îi permită platformei să genereze documentele de conformitate cu GDPR. 
Calitatea documentelor generate de platformă având în vedere că acestea au fost întocmite de avocați specializați în domeniul protecției datelor cu caracter personal.
Posibilitatea de personalizare a anumitor documente, astfel încât să beneficiați de o cât mai largă arie de acoperire a acestora, potrivit nevoilor dumneavoastră.
Beneficiați de asistență online pentru a eficientiza la maxim procesul de generare a documentelor din platformă și pentru a vă oferi răspunsurile la întrebările dumneavoastră în legătură cu diversele probleme pe care le întâmpinați în activitatea dumneavoastră și sunt impactate de GDPR.
Platforma vă va organiza toată documentația necesară pentru conformitate cu GDPR într-un singur loc, astfel încât accesul la acestea și evidența lor să fie cât mai facilă.
Veți putea accesa de pe orice dispozitiv conectat la internet oricând contul dumneavoastră, asigurându-vă flexibilitate maximă în derularea procesului de implementare a GDPR
Ne-am propus să adaugăm în platformă începând cu 1 august și un modul de facturare.
Intenționăm să dezvoltăm și un modul pentru furnizarea de șabloane pentru o gamă largă de contracte ce vă sunt necesare în activitatea pe care o desfășurați.

6. CONCLUZII

Regulamentul are 99 de articole care impun drepturi și obligații în legătură cu prelucrarea datelor cu caracter personal, în contextul a 173 de paragrafe în preambul! A durat 3 ani de zile până a fost adoptat în anul 2016 și a existat și un termen de grație pentru conformarea la regulament de 2 ani de zile până în mai 2018 când a devenit obligatoriu.

Sunt firme multinaționale care au decis sistarea temporară a serviciilor lor pentru cetățenii Uniunii Europene pentru că au apreciat că încă nu ating un grad satisfacator de conformitate cu noile norme GDPR.
Înțelegeți astfel atât complexitatea GDPR, cât și importanța acestuia în planul protecției drepturilor persoanei fizice!
 
Dincolo însă de complexitatea și volumul mare de statuări, mai mult sau mai puțin clare (un rol major revine de acum și doctrinei și practicii în interpretarea și circumstanțierea multor din ele), GDPR trebuie înțeles ca o preocupare la nivel european pentru a proteja drepturile fundamentale ale cetățenilor, mai exact dreptul la viața privată care are ca și componentă dreptul la protecția datelor cu caracter personal. GDPR nu urmărește eliminarea sau restricționarea în sine a prelucării și circulației datelor, ci doar să asigure că acestea se fac cu respectul cuvenit dreptului individului. Să nu uităm că un drept fundamental, așa cum exprimă doctrinarii, dă expresie unor valori sociale fundamentale şi care are drept scop satisfacerea unor nevoi umane esenţiale şi a unor aspiraţii legitime, în contextul economico-social, politic, cultural şi istoric, ale unei anumite societăţi.

Într-o societate în continuă dezvoltare, într-o eră a digitalizării și a schimbului fulger, aproape neperceptibil, al informațiilor, datele cu caracter personal au nevoie de o protecție sporită din partea celor care le dețin și le prelucrează.

Platforma My BIZ este o soluție pentru conformitatea minimală cu GDPR!